Mac OS X - Scovato il Cryptlocker che attacca il Mac e prende in ostaggio i dati - Si è diffuso con Transmission |
![]() |
Scritto da Giovanni Di Cecca, acm, ieee |
Martedì 08 Marzo 2016 10:37 |
La risposta a scatola chiusa è sicuramente si, dipende solo se ne vale la pena (ovvero se il ritorno economico è tale da creare un virus per Mac). E' stato scovato KeRanger e pare abbia già colpito con “successo” alcune macchine made in Cupertino, lasciando agli utenti un'unica schermata con le modalità di pagamento per sbloccare il computer.
A scoprirlo sono stati ricercatori dell'azienda di sicurezza Palo Alto Networks. Una storia tipo Cryptolocker, che in ambito Windows farebbe notizia solo se ad essere colpiti sono un numero di utenti esorbitante, ma per il mondo Apple e soprattutto per il Mac, che aveva come campagna pubblicitaria famosa il figo e lo sfigato (Mac e PC) che mostrava come il Mac fosse immune ai Virus (al minuto 8.30 del video proposto), è la fine di un'epoca.
Video - Spot Apple Mac - Mac contro PC (tutti gli spot in Italiano)
Link per smartphone: https://youtu.be/hzoC8ZQi7kU
KeRanger è un ransomware, come il Cryptolocker, ovvero è un programma che prende in ostaggio i dati (Word, Excel, iWork, immagini, video, ecc.), criptando la parte della tabella del disco che contiene l'indirizzario dei file presenti sul disco con una cifratura altissima (RSA 2048 o 4096 bit, praticamente insfondabile in tempi ragionevoli). Il virus per creare la chiave di protezione (che secondo i rapitori dei dati viene restituira dopo il pagamento sul dark web, il sistema TOR), mediante la posizione del mouse nel momento in cui il virus si attiva. Il dato, partirebbe per questo server su sistema TOR e quindi sul PC/Mac i dati documento vengono bloccati. Per catturare la chiave sarebbe necessario un programma sniffer che monitori la chiave prima di uscire dal PC/Mac. Al danno la beffa, molto spesso anche dietro al pagamento del “riscatto” non corrisponde lo sblocco del computer. Come si è diffuso KeRanger
Il ransomware che ha colpito i Mac si è diffuso, come trojan, attraverso un client torrent: il Trasmission. Si tratta di uno di quei software che servono per scaricare contenuti dalla Rete con protocollo p2p. Più precisamente, il malware era presente nell'installer della versione 2,90. E non è ancora chiaro in che modo i cyber criminali siano riusciti a bucare l'applicazione. Si sa con certezza, invece, che l'infezione ha avuto luogo il 4 marzo scorso, data di rilascio della versione 2,90. Mentre meno di 24 ore più tardi Apple era già al corrente dell'accaduto. Chiariamo subito che sia l'azienda di Cupertino che la stessa società produttrice di Trasmission hanno risolto il caso quasi subito. Gli ingegneri di Apple hanno ritirato il certificato digitale del programma (rendendolo dunque non più installabile), mentre di Trasmission è già stata diffusa la versione 2,92 debellata dal virus. Cosa possono fare gli utenti Mac
I possessori di un Mac, comunque, possono controllare se il loro sistema è infetto attraverso qualche rapido passaggio, riportato dai diversi siti settoriali. Innanzitutto è bene cercare se esiste un file su General.rtf, (e in caso affermativo eliminarlo il prima possibile spostandolo nel cestino e svuotando quest'ultimo, nda) scandagliando nelle cartelle /Applications/Transmission.app/Contents/Resources/ e /Volumes/Transmission/Transmission.app/Contents/Resources/. Questo file utilizza un'icona che assomiglia a un file RTF normale, ma in realtà è un file eseguibile Mach-O compresso con UPX 3.91. È inoltre noto che la prima volta che lo si esegue, KeRanger crea tre file “.kernel_pid”, “.kernel_time” e “.kernel_complete” nella directory / Library. Il malware sarà poi dormiente per tre giorni prima di attaccare il sistema. C'è da aggiungere che gli utilizzatori di Trasmission possono semplicemente scaricare la versione 2.92. L'update, infatti, non solo rimuove i file della vecchia versione ma anche il malware. In assoluto vale la stessa regola per il PC, ovvero installare un antivirus (Avast o Kaspersky ad esempio) e tenere glo occhi aperti... sempre...
Short URL: http://2cg.it/2t8 e pare abbia già colpito con “successo” alcune macchine made in Cupertino, lasciando agli utenti un'unica schermata con le modalità di pagamento per sbloccare il computer. A scoprirlo sono stati ricercatori dell'azienda di sicurezza Palo Alto Networks. |